本稿では、継続的な高度化された脅威(APT)を検出するための新しい方法を紹介します。従来の指導学習方式が必要とする膨大な量のラベル付きデータ確保の難しさを解決するため、オートエンコーダを利用した異常検出と能動学習を組み合わせました。不確実または不明瞭なサンプルに対してオラクルに選択的にラベルを要求するアクティブな学習により、ラベル付けコストを削減し、検出精度を高めます。具体的には、Attention Adversarial Dual AutoEncoderベースの異常検出フレームワークを提示し、アクティブ学習ループがモデルのパフォーマンスを向上させるプロセスを示しています。 DARPA Transparent Computingプログラムの実際のアンバランスプロセス追跡データを使用して(APT様攻撃はデータの0.004%のみを占める)、Android、Linux、BSD、Windowsなど、さまざまなオペレーティングシステムにわたる2つの攻撃シナリオで評価し、従来の方法よりも検出率が大幅に向上することを示しました。
